2016年11月7日,十二届全国人大常委会第二十四次会议表决,通过了《中华人民共和国网络安全法》(以下简称《网络安全法》),法律进一步界定关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施,增加惩治网络诈骗等新型网络违法犯罪活动的规定等。条文明确规定,该法律自2017年6月1日起施行。
在5月25日至26日,工信部网安局在京组织行业各有关单位召开《网络安全法》与《信息通信网络与信息安全规划(2016-2020)》宣贯培训会,对《网络安全法》和国家相关网络与信息安全战略规划进行系统全面解读的基础上,重点就如何贯彻落实好《网络安全法》和相关战略规划明确的关键信息基础设施保护、数据安全和用户个人信息保护、网络关键设备和安全专用产品认证检测、网络安全监测预警和应急处置等与行业密切相关制度规定,进行了深入交流讨论,明确了下一步工作方向和要求。
会议认为,国家网络与信息安全相关战略规划陆续出台,《网络安全法》将于6月1日正式实施,进一步明确了网络安全工作的目标原则、战略任务和法律基础,网络安全工作战略更加清晰,任务更加具体,责任更加明确。当前和今后一个时期,网络与信息安全工作的重要任务就是学习贯彻落实好《网络安全法》和相关战略规划。
《网络安全法》加强了对个人信息、数据安全的保护
根据法律条文内容,笔者整理了《网络安全法》中与我们工作和生活密切相关的条文,包含以下十一点:
1、网络安全企业和机构获得更多支持,这将促进行业和企业做大:第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目。
2、加强网络安全教育和知识普及,让更多了解网络安全的作用,这样才能做好安全的防范:第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
3、推动网络安全类教育机构发展,培养更多网络安全人才:第二十条 国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全技术人才,促进网络安全技术人才交流。
4、对网络安全运维岗位提出了具体规范和要求,网管岗位很重要,责任也很重大:第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
5、网络安全提供者有保护企业、个人网络安全的义务,不得推卸责任:第二十二条 网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
6、网络服务的提供者必须建立网络危机应对预案,不能出现问题就推卸给第三方:第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
7、明确对网络犯罪范畴,网络劫持、伪基站、诱导输入以及以为违法行为提供广告和支付等后台支持也将受处罚:第二十七条 任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
8、安全信息共享,各企业和部门形成连通,大数据将有更多覆盖:第二十九条 国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。
9、强调电信运营商的安全责任:第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议,明确安全和保密义务与责任。
10、要求网络服务提供商必须保障个人信息安全,不得违规收集存储、随意转卖和商用,更不得造成信息泄露丢失等,而个人也有权利要求网络服务提供商删除自己的信息。如果发现个人信息被非法收集利用,可以向主管部门举报,甚至诉诸法律:第四十一条 网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的公民个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息。网络运营者收集、使用公民个人信息,应当公开其收集、使用规则。
第四十二条 网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
11、强调防止内部泄密的重要性,毕竟很多信息泄露是内部人员所为:第三十九条 依法负有网络安全监督管理职责的部门,必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
就《网络安全法》实施,网安局负责人答记者问
日前,国家互联网信息办公室网络安全协调局负责人就《网络安全法》,回答了记者有关提问。该负责人表示,《网络安全法》的公布和施行,不仅从法律上保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,而且还有利于信息技术的应用,有利于发挥互联网的巨大潜力。
关键信息基础设施的范围如何确定?中国将采取什么措施加强关键信息基础设施保护?
该负责人回答,关键信息基础设施保护制度的目的是要确保涉及国家安全、国计民生、公共利益的信息系统和设施的安全,与等级保护制度相比所涉及的范围相对较小。从各国的情况看,具体明确关键信息基础设施相当复杂,是一个在实践中不断完善、不断调整的过程。目前国家互联网信息办公室正会同有关部门按照《网络安全法》的要求,抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
加强关键信息基础设施保护,首先是按照《网络安全法》的要求,抓紧制定相关配套制度和标准。要重点做好以下几方面工作:一是要加强关键信息基础设施保护工作的统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生。二是要建立完善责任制,政府主要是加强指导监管,关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。
对于《网络安全法》要求,采取技术措施和其他必要措施阻断来源于境外的非法信息的传播。这一要求是不是意味着要严格管控国外网站,限制信息跨境流动?
该负责人表示,现实世界中,无论是企业还是个人,进入哪个国家就要遵从哪个国家的法律法规要求,违法行为都将受到法律的制裁。网络空间也不例外,在中国境内网络上传播的信息必须符合中国法律法规的规定。
中国坚持依法治网,采取技术措施和其他必要措施阻断违法信息在境内传播,是国家网络空间主权的体现,是维护国家安全和广大人民群众利益的客观要求。我们支持信息跨境自由流动,但这要以不损害他国网络空间主权为条件,阻断违法信息进入本国网络空间与支持信息跨境自由流动不矛盾。
《网络安全法》规定关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储。这种规定会不会限制数据跨境流动,影响国际贸易?
该负责人表示,《网络安全法》规定的目的是为了维护国家网络安全,保护人民群众利益。落实法律要求,要把握以下几点:1.这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求。2.不是所有的数据,只限于个人信息和重要数据,这里的重要数据是对国家而言,而不是针对企业和个人。3.对于确需出境的数据,法律作了制度上的安排,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。4.经个人信息主体同意的,个人信息可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。
《网络安全法》关于数据境内留存和出境评估的规定,不是要阻止数据跨境流动,更不是要限制国际贸易。当今数据跨境流动已经成为经济全球化的前提,是推进“一带一路”建设的必要条件,我们愿同各国就此问题开展交流合作,共同促进数据依法有序自由跨境流动,充分保障个人信息安全和国家网络安全。
总结
《网络安全法》的实施,对于我国公民的个人信息保护、界定关键信息基础设施范围,惩治电信诈骗违法犯罪、治理攻击破坏我国关键信息基础设施的境外组织和个人等具有重大的里程碑意义。